BEA:bEarn Fi 黑客攻击始末：代码现“小”问题轻松得手1100 万美元

北京时间2021年5月16日晚上九点半左右，PeckShield「派盾」预警监测到，跨链智能收益与流动性聚合器bEarnFi遭到攻击，损失近1,100万美元。

PeckShield「派盾」安全人员追踪和分析发现，此次攻击始于bEarnFi机池代码存在的「小问题」，以下是攻击细节分析。

值得注意的是，此次攻击的本金是从CreamFinance的闪电贷借来的。

BNB Beacon Chain将于张衡升级中增加暂停区块功能:7月13日消息，BNB Beacon Chain 将于张衡硬分叉升级中增加恐慌特性，能够暂停区块产出，此次升级还包括流氓密钥攻击错误修复，以及升级链的业务逻辑处理能力等。[2023/7/13 10:52:26]

攻击者从CreamFinance闪电贷借出7,804,239.1BUSD；

接着，攻击者创建的合约将所借BUSD存入BvaultsBank后，这些BUSD立即存至BvaultsStrategy策略中，随即转存入Alpaca借贷资金池，此时，攻击者可获得借贷资金池返还给的ibBUSD合成资产作为用户的抵押凭证。当退出时，用户可以凭借该凭证赎回抵押在借贷资金池内的本金及其抵押期内所产生的利息。在这一步中，AlpacaVault铸造了7,598,066.6ibBUSD返还至BvaultsStrategy；

MoonBeam项目计划在波卡上重建以太坊:MoonBeam项目计划建立一个定制的平行链，它将模拟以太坊虚拟机环境，有效地在Polkadot（DOT）上重建以太坊（ETH）。Polkadot和其他一些互操作性项目的开发人员通常需要设置一个完整的区块链来托管他们的DApps。

虽然Polkadot的底层框架旨在使这个过程更简单，但并不是所有DApps都需要对其环境进行这种级别的控制。MoonBeam想要成为Polkadot的一种以太坊仿真器，这个虚拟环境目前支持以太坊上所有的智能协议。（Cointelegraph）[2020/11/11 12:20:40]

合约利用所铸造的7,598,066.6ibBUSD通过AlpacaFairLaunch进行挖矿；

现场 | Beam CEO Alexander Zaidelson：2019年将建立Beam基金会:金色财经现场报道，2月25日，Beam CEO Alexander Zaidelson于北京举办首场亚洲见面会，与众多大咖面对面共同探讨Beam及MimbleWimble生态。Beam CEO Alexander Zaidelson在活动上指出，Beam希望可以建立丰富的生态系统，实现隐秘的价值传递，实现合规性以及现实生活中真正有用的案例。BEAM是基于MimbleWimble协议开发的加密货币，具有强大的隐私性、可替代性和可扩展性。BEAM的所有链上处理都是私有的，并且区块链验证不需要存储整个历史记录，而且在BEAM中没有了地址的概念，保证了发送方、接收方和发送数量的隐私性。Alexander Zaidelson在活动中介绍Beam时宣布，将在2019年建立Beam基金会，Beam团队将在5年内将社区治理传递给Beam基金会。[2019/2/25]

当攻击者合约从BvaultsBank提取7,804,239.1BUSD时，以BvaultsStrategy提取逻辑为准，按照ibBUSD的价格来换算，而iBUSD的价格高于BUSD，则7,804,239.1ibBUSD相当于8,016,006.1BUSD，凭空多出20多万BUSD。

值得注意的是，攻击者合约只能从bVaultsBank取出其中7,804,239.1BUSD，并再次存入用于第二轮攻击，加上上一轮未从BvaultsStrategy取出的部分，此时，BvaultsStrategy转入Alpaca借贷资金池的数额就变成了8,016,006.1BUSD。

攻击者重复操作，最终将7,806,580.4BUSD返还给闪电贷，造成近1,100万美元的损失。

bEarnFi在复盘此次攻击事件时写道：务必复核所有的产品代码，由于近期DeFi安全事件频繁发生，未来的工作重心将从创新调整到增强安全上来。?

事实上，每次DeFi安全事件发生后，区块链安全公司PeckShield「派盾」都会警示协议开发者引以为戒，在协议上线前对代码进行审计和研究，在攻击事件发生后自查代码，防患于未然，但说一千道一万都不及遭到损失数百上千万美元的教训来得深刻。

安全是DeFi生态愈发繁荣的前提，也是一切创新创造的根本，不要等到造成损失才审视安全的重要性。

标签：BEABUSDUSDBEAMMATICBEAR币EBUSDusdk币2022年YFMoonBeam

SHIB最新价格热门资讯